Οι χάκερ της BlueDelta επιτίθενται σε χρήστες ευρέως χρησιμοποιούμενης ουκρανικής υπηρεσίας ηλεκτρονικού ταχυδρομείου και ειδήσεων

Ανακαλύφθηκε μια νέα εκστρατεία συλλογής διαπιστευτηρίων που στοχεύει χρήστες του UKR.NET, μιας δημοφιλής ουκρανικής πλατφόρμας ηλεκτρονικού ταχυδρομείου και ειδήσεων.

Οι επιθέσεις συνδέονται με την BlueDelta, μια ρωσική κρατική ομάδα χάκερ, γνωστή και ως APT28, Fancy Bear και Forest Blizzard.

Αυτή η ομάδα εκτελεί επιχειρήσεις για πάνω από δέκα χρόνια, εστιάζοντας στην κλοπή διαπιστευτηρίων σύνδεσης από κυβερνητικές υπηρεσίες, αμυντικούς εργολάβους και άλλους ευαίσθητους στόχους για την υποστήριξη των αναγκών στρατιωτικών πληροφοριών της Ρωσίας.

Μεταξύ Ιουνίου 2024 και Απριλίου 2025, οι φορείς απειλών δημιούργησαν ψεύτικες σελίδες σύνδεσης στο UKR.NET που είχαν σχεδιαστεί για να κλέβουν ονόματα χρηστών, κωδικούς πρόσβασης και κωδικούς ελέγχου ταυτότητας δύο παραγόντων από Ουκρανούς χρήστες.

Αυτές οι σελίδες φιλοξενήθηκαν σε δωρεάν υπηρεσίες ιστού όπως το Mocky και το DNS EXIT, γεγονός που καθιστά δυσκολότερο τον εντοπισμό τους. Οι χάκερ έστειλαν αρχεία PDF στα θύματα που περιείχαν συνδέσμους σε αυτές τις ψεύτικες πύλες σύνδεσης.

Αυτή η μέθοδος τους βοήθησε να αποφύγουν τον εντοπισμό από αυτοματοποιημένα συστήματα ασφαλείας email και εργαλεία sandbox που σαρώνουν για κακόβουλο περιεχόμενο.

Καταγράφηκαν μελλοντικοί αναλυτές αναγνωρισθείς ότι η BlueDelta άλλαξε τις μεθόδους της αφού οι υπηρεσίες επιβολής του νόμου διέκοψαν την προηγούμενη υποδομή τους στις αρχές του 2024.

Αντί να χρησιμοποιεί παραβιασμένους δρομολογητές όπως πριν, η ομάδα άλλαξε σε πλατφόρμες διοχέτευσης μεσολάβησης όπως το ngrok και το Serveo. Αυτές οι υπηρεσίες τους επέτρεψαν να αποκρύπτουν τις πραγματικές τοποθεσίες των διακομιστών τους ενώ καταγράφουν τα διαπιστευτήρια των θυμάτων.

Η εκστρατεία δείχνει την επίμονη προσπάθεια των ρωσικών υπηρεσιών πληροφοριών να συλλέξουν ευαίσθητες πληροφορίες από Ουκρανούς χρήστες κατά τη διάρκεια της συνεχιζόμενης σύγκρουσης.

Διαπιστευτήρια-Μηχανισμός Συγκομιδής

Οι ψεύτικες σελίδες σύνδεσης χρησιμοποιούσαν προσαρμοσμένο κώδικα JavaScript για να κλέψουν πληροφορίες χρήστη και να τις στείλουν σε διακομιστές που ελέγχονται από τους εισβολείς.

Ο κώδικας κατέλαβε τα διαπιστευτήρια σύνδεσης και μετέφερε προκλήσεις CAPTCHA σε τομείς με ασυνήθιστους αριθμούς θύρας όπως `kfghjerrlknsm[.]γραμμή[.]μ.μ.: 11962`. Οι χάκερ πρόσθεσαν επίσης κώδικα για την καταγραφή των διευθύνσεων IP των θυμάτων χρησιμοποιώντας το HTTPBin, μια δωρεάν υπηρεσία API.

Σε νεότερες εκδόσεις, το BlueDelta ενημέρωσε το JavaScript για να απενεργοποιήσει τη σελίδα προειδοποίησης του προγράμματος περιήγησης ngrok. Η γραμμή κώδικα `req.setRequestHeader(“ngrok-skip-browser-warning”, “1”);» προστέθηκε για να εμποδίσει τα θύματα να βλέπουν ειδοποιήσεις ασφαλείας κατά τη σύνδεση μέσω της υπηρεσίας διακομιστή μεσολάβησης.

Αυτό έκανε τις ψεύτικες σελίδες να φαίνονται πιο νόμιμες και μείωσε την πιθανότητα τα θύματα να παρατηρήσουν οτιδήποτε ύποπτο.

Η ομάδα δημιούργησε μια υποδομή πολλαπλών επιπέδων με έως και έξι ξεχωριστά επίπεδα μεταξύ του θύματος και του τελικού διακομιστή. Το πρώτο επίπεδο χρησιμοποιούσε υπηρεσίες συντόμευσης συνδέσμων όπως το TinyURL και το Linkcuts, ενώ το δεύτερο επίπεδο φιλοξενούσε τις σελίδες συλλογής διαπιστευτηρίων στο Mocky.

Το τρίτο επίπεδο περιλάμβανε τομείς διάνοιξης σήραγγας ngrok που συνδέονταν με αποκλειστικούς διακομιστές στη Γαλλία και τον Καναδά.

Αυτή η περίπλοκη ρύθμιση δυσκόλεψε τις ομάδες ασφαλείας να εντοπίσουν τους εισβολείς και να τερματίσουν τις δραστηριότητές τους.

Οι ερευνητές του Recorded Future σημείωσαν πάνω από 42 διαφορετικές αλυσίδες συλλογής διαπιστευτηρίων κατά την περίοδο της εκστρατείας, δείχνοντας την κλίμακα και την εμμονή αυτής της απειλής.